電子商務中的安全技術

[摘要] 安全問題是電子商務發展的核心和關鍵問題。安全性技術是保證電子商務健康有序發展的關鍵因素。本文討論了電子商務應用中所存在的安全問題，針對這些安全問題對電子商務的安全技術進行了分析。

[關鍵詞] 電子商務 加密技術 數字簽名

一、引言

隨著Internet的發展，電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。電子商務安全問題是電子商務發展中的一個主要障礙。電子商務安全技術的應用為建立一個安全、便捷的電子商務應用環境，對商家和客戶的信息提供足夠的保護，起著關鍵性的作用。

二、電子商務面臨的安全問題

1.信息的截獲和竊取

由于未采用加密措施，信息在網絡上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

2.篡改信息

當入侵者掌握了信息的格式和規律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發向目的地。

3.信息假冒

由于掌握了數據的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

4.交易抵賴

交易抵賴包括多個方面，如發信者事后否認曾經發送過某條信息或內容；收信者事后否認曾經收到過某條消息或內容；購買者做了訂單不承認；商家賣出的商品因價格差而不承認原有的交易等。

5.惡意破壞

由于攻擊者可以接入網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。

三、電子商務安全技術

1.密碼技術

密碼技術是信息安全的核心技術。對信息安全的需求大部分可以通過密碼技術來實現。密碼技術包括加密、簽名認證和密鑰管理技術等。

(1)加密技術。數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來內容，通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。加密技術通常分為兩大類:“對稱式”和“非對稱式”。加密技術是保證電子商務安全的重要手段，許多密碼算法現已成為網絡安全和商務信息安全的基礎。

(2)數字簽名。在電子商務安全系統中，數字簽名技術占有重要的地位。在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中，都要用到數字簽名技術。數字簽名就是基于加密技術的，它的作用就是用來確定用戶是否是真實的。目前，數字簽名一般都通過單向Hash函數來實現，它可以驗證交易雙方數據的完整性。通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。數字簽名技術將具有廣闊的應用前景，它將直接影響電子商務的發展。

(3)密鑰管理技術。密鑰管理包括密鑰的產生、存儲、裝入、分配、保護、丟失、銷毀以及保密等內容。其中分配和存儲是最棘手的問題。密鑰管理不僅影響系統的安全性，而且涉及系統的可靠性、有效性和經濟性。在用密碼技術保護的現代信息系統的安全性主要取決于對密鑰的保護。密鑰管理技術主要包括：對稱密鑰管理;公開密鑰管理，第三方托管技術。

2.網絡安全技術

（1)防火墻技術。防火墻可以根據網絡安全水平和可信任關系將網絡劃分成一些相對獨立的子網，兩側間的通信受到防火墻的檢查控制；可以根據既定的安全策略允許特定的用戶和數據包穿過，同時將安全策略不允許的用戶與數據包隔斷，達到保護高安全等級的子網、防止墻外黑客的攻擊、限制入侵蔓延等目的。防火墻具有以下五大基本功能:過濾進、出網絡的數據;管理進、出網絡的訪問行為；封堵某些禁止行為；記錄通過防火墻的信息內容和活動；對網絡攻擊進行檢測和告警。目前的防火墻主要有兩種類型。其一是包過濾型防火墻，其二是應用級防火墻。

（2)虛擬專用網VPN技術。虛擬專用網VPN是一種特殊的網絡，它采用一種叫做“通道”或“數據封裝”的系統，用公共網絡及其協議向貿易伙伴、顧客、供應商和雇員發送敏感的數據。這種通道是Internet上的一種專用通道，可保證數據在外部網上的企業之間安全地傳輸。在VPN中，只要通信的雙方默認即可，沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性，因而能夠保證數據的保密性和可用性。VPN實現的關鍵技術是隧道技術、加密技術和QoS（服務質量）技術。

（3)入侵檢測技術。入侵檢測技術是防火墻技術的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。其最重要的價值之一是它能提供事后統計分析，所有安全事件或審計事件的信息都將被記錄在數據庫中，通過從各個角度對這些事件進行分析歸類，可以總結出被保護網絡的安全狀態的現狀和趨勢，及時發現網絡或主機中存在的問題或漏洞，并可歸納出相應的解決方案。入侵檢測的主要方法有：靜態配置分析，異常性檢測方法、基于行為的檢測方法及幾種方法的組合。

（4)安全交易協議。除了各種安全控制技術之外，電子商務的運行還需要一套完整的安全交易協議。不同交易協議的復雜性、開銷、安全性各不同。同時，不同的應用環境對協議目標的要求也不盡相同。目前，比較成熟的協議有安全套接層協議(SSL)和安全電子交易協議(SET)。

三、小結

用于保護電子商務的安全控制技術很多，并非把這些技術簡單地組合就可以得到安全。但是通過合理應用安全控制技術，并進行有機結合，就可從技術上實現系統、有效的電子商務安全。

參考文獻:

[1]張立克:電子商務及其安全保障技術[J].水利電力機械，2007，29(2):69～74

[2]祝凌曦:電子商務安全[D].北京:清華大學出版社，2006

[3]夏穎:電子商務中的信息安全技術[J].電腦知識與技術，2005，(8):51～53

[4]劉明珍:電子商務中的信息安全技術[J].湖南人文科技學院學報，2006，(3):48～51